Einrichtung VPN L2TP Servername DDNS

ragman1976

Benutzer
Mitglied seit
10. Jan 2017
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Hallo,

erstaml ein paar INfos zu meinm Sys:
DS218+
FritzBox 7590
Zugang über 1und1

Ich bin gerade dabei o.g. VPN Dienst einzurichten. Dei Einrichtung habe ich nach div. Anleitungen wie z.B.:

-https://www.youtube.com/watch?v=QPLP87ACaXI


Wie fast zu befürchten war funktioniert die Sache auf anhieb nicht.

Ich habe an meiner Fritzbox folgende Portweiterleitungen eingerichtet:

Portfreigaben.jpg

Die Syno Firewall ist ausgeschaltet.

Um die VPN Verbindung herzustellen habe ich ein entsprechende Verbindung an meine Android konfiguriert (nicht im WLAN) und unter Serveradresse meine Synology DDNS Adresse eingegeben (dasistnureinbsp.synology.me)
Wie gesagt funtioniert die Verbindung nicht.

Bei der Fehlersuche ist mir aufgefallen, dass die Adresse dasistnureinbsp.synology.me, wenn ich sie in einem Browser auf dem Handy eingebe nicht errreichbar ist. Eigentlich sollte ich doch mit der Adresse auf der Anmeldeseite der DS landen oder?
Wenn ich im internen LAN bin lande ich auf der Anmeldeseite der DS, an welcher Stelle ist da was falsch konfiguriert?

Gruß uind danke vorab.
 

ikorbln

Benutzer
Mitglied seit
26. Nov 2017
Beiträge
243
Punkte für Reaktionen
11
Punkte
18
Hallo,

Die Anmeldeseite würde nur kommen wenn du den Port 80 auf die Synology aufmachst damit diese den forwarden kann auf den Port 5000. Das will aber keiner.
Was bei L2PT durch die Fritzbox wichtig ist, es müssen bei allen evtl. vorhandenen Fritzusern in der Fritzbox die VPN-Häkchen weg.
Sonst beisst sich die Portweiterleitung mit dem VPN-Server der Fritzbox.
Prüf das mal.

Ansonsten kannst du auch den VPN-Server der Fritzbox nutzen. Somit spart man sich das ganze weiterleiten.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.130
Punkte für Reaktionen
195
Punkte
89
Moinsen,

generell muss die DDNS Adresse sich auf die Fritzbox beziehen, denn dort willst du ja im ersten Schritt hin.

Extern (Android Handy mit VPN ------> Fritzbox (mit DynDNS) -----------> ggf. PWL auf Port des VPN-Servers oder keine PWL, wenn VPN-Server auf der Fritzbox ------------> fertig!

Wenn du den DynDNS auf dein NAS legst, dann erreichst du ja deine Fritzbox nicht...eigentlich klar, oder?

Lösung 1 (wie mein Vorschreiber schon erwähnte): VPN über die Fritz machen lassen (sicher aber langsam)

Lösung 2: VPN auf der Syno (unsicherste Lösung von den dreien)

Lösung 3: eigenen dezidierten VPN-Server aufsetzen (Raspi, bessere Routermodelle, Firewall mit VPN-Funktion) (sicher, schnell, Mehraufwand, teurer-----> 30 bis 200 Euro)

Lösung 4: wie du es gerade machst, kein VPN, alles per PFW freigeben (großer Mist!!!)

Viel Erfolg!
the other
 

ragman1976

Benutzer
Mitglied seit
10. Jan 2017
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Moin,

das ganze Thema ist relativ neu für mich, bin eben dabei mich langsam ranzutaten.

Habe eben herausgefunden, erfahren dass ich über einen DS-Lite Anschluss verfüge und somit keine öffentlich erreichbare IPv4 Adresse. Somit sindd alle Möglichkeiten, die eine Portweiterleitung voraussetzten sowieso erstmal passe.

Mit Lösung 1 könnte ich leben, es muss nicht schnelle sien. Ich möchte nur Zigriff auf die DS wenn ich mal unterwegs bin. VPN auf der Syno ist doch genau das was im Moment probiere (Synology VPN-Server), warum ist das unsicher?

Gruß
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.130
Punkte für Reaktionen
195
Punkte
89
Moinsen,
sorry, viel Arbeit wenig Zeit...

Moin,

das ganze Thema ist relativ neu für mich, bin eben dabei mich langsam ranzutaten.

Ja, VPN ist zu Beginn etwas komplex, fand und finde ich auch, aber mit etwas Mühe, Muße und Lesen zu bewältigen. Also nicht entmutigen lassen...

Zu deinen Folgefragen:
von extern auf dein NAS zuzugreifen ist per VPN die sicherste Lösung. Soweit richtig. Alles andere ist aus meiner persönlichen Sicht Quark. Nun willst du dafür dein NAS nutzen, ist ja auch super, dass Synology da ein Paket zu anbietet. Aber: wenn du den VPN-Server auf deinem NAS nutzen willst, dann MUSST du eine Portweiterleitung in der Fritzbox aufs NAS einrichten. Und genau das ist eben ein zu bemängelndes Sicherheitsproblem. Denn damit steht der VPN-Port eben "offen". Sicherlich ist es nicht so ganz einfach, das dann böse auszunutzen, aber es ist eben eine potentielle Einbruchstelle. Wenn du schon VPN nutzen willst, dann willst du damit vielleicht nicht ein neues Einfallstor öffnen.
Auf dem NAS liegen eben auch normalerweise deine Daten. Einen VPN Server würde ich daher immer auf einem dezidierten eigenen Gerät anlegen, nicht auf deinem Dateiserver.

Da du einen DS-lite Anschluss hast, wie du schreibst, ist es in der Tat etwas komplizierter mit dem Einrichten, denn den einfachen Weg via DynDNS kannst du dann nicht gehen via IPv4, das gibt der Anschluss nicht her. Sicherlich kann da was gebastelt werden, das ist aber sehr aufwändig und für deinen beschriebenen Einsatzzweck der Overkill.
Alternativ könntest du eine andere VPN-Methodik nutzen (zB nutzt die Fritzbox nur IPSec, das geht aber eben nicht via DS-Lite AFAIK)...
Wenn du aber zB einen Raspberry Pi kaufst (ca. 40 Euro) und dort einen OpenVPN Server einrichtest, dann kannst du auch den Zugang via IPv6 nutzen, denn das kann OpenVPN. Via IPv6 ist es dann eben auch möglich bei einem DS-Lite Anschluss:
https://administrator.de/forum/vpn-ds-lite-499991.html

Lies dich dort mal in Ruhe ein, nutz auch die Suchfunktion auf der Seite, denn dort hat der User datasearch ein top Tutorial geschrieben zum Thema VPN:
https://administrator.de/wissen/ope...nfiguration-erstellung-zertifikate-73947.html

Und eines vom user aqui:
https://administrator.de/contentid/191718

Oder hier ein anderes Tutorial:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installieren/

Oder auch...du siehst schon...http://www.gidf.de/

:)

Viel Erfolg weiter und viel Spass beim Lesen und Lernen und Umsetzen!
Grüßle
the other
 

ragman1976

Benutzer
Mitglied seit
10. Jan 2017
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Hi,

danke für die ausführliche Antwort, links, das werde ich mir mal zu Gemüte führen. aber ich sehe schon, so einfach wie gedacht wird die Sache nicht.

Ich habe heute mal ,it meinen Provider telefoniert (1&!) und gefragt ob er meinen Anschluss auf eine offentlich erreichbare IPv4 Adresse umstellen kann...is nicht.

Angeboten wurde mir eine Virtual Server Cloud von Ionos (1€/Monat), über die ich dann eine IPv4 Adresse erhalten würde. Wenn ich das richtig verstanden habe könnte ich damit dann die Lösung via Syno VPN Server Variante realisieren? Bliebe das "Problem" mit den Portfreigaben..

Mal sehen was ich mir am Ende des Tages realisiere.

Gruß
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.130
Punkte für Reaktionen
195
Punkte
89
Moinsen,
yep, da haben sie Recht. Mit der vorgeschlagenen Lösung geht das. Aber: nach drei Jahren hast du dafür so viel Geld ausgegeben wie für einen Raspberry Pi!! Der kann dann aber neben OpenVPN noch einiges mehr, wenn du ihn so einrichtest.

ZB kann der (richtig konfiguriert) nahezu sämtliche Werbung aus Internetseiten filtern, "böse" Seiten sperren und vieles mehr (Internetsuche nach PiHole mal probieren).

JedeR muss es am Ende des Tages selber entscheiden, aber meine Entscheidung geht da doch zu 100% Richtung RaspberryPi.

Viel Spass
und
Grüßle
the other
 

ragman1976

Benutzer
Mitglied seit
10. Jan 2017
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Hi,

die RaspberryPi Geschichte klingt mit Sicherheit am interesanntesten und bietet auch die größte Spielwiese. Langfrisitg werde ich das sicherlich auch ausprobieren, schon alleine aus Lust an der Bastelei. Im Moment steht mit schon die Zeit nicht zur Verfügung und leider bin ich so ein typisches "doppelklick-Windows .exe" Kind, bin mit Linux überhaupt nicht veetraut und ziemlich talentfrei wenn es darum geht eine Befehlszeile fehlerfrei einzutippen :)

Liese sich mit der IONS Lösung auch die "VPN über Fritzbox Lösung" realisieren? Wenn, ja wie müßte man das konfigurieren?

Gruß
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.130
Punkte für Reaktionen
195
Punkte
89
Moinsen,
generell sagt AVM dazu:
http://www.gidf.de/

Zu deiner Frage:
https://avm.de/service/fritzbox/fri...-FRITZ-Box-am-DS-Lite-Internetzugang-moglich/

https://www.pc-magazin.de/ratgeber/...em-remote-access-tipps-anleitung-3195554.html

Wenn du dann zusätzlich die kostenpflichtige Version nutzt, solltest du eben vorher mal den Anbieter speziell danach fragen, was die da so ermöglichen. Kostet ja schließlich...
Aus dem Bauch heraus würde ich annehmen, dass es damit auch für die Fritzbox geht, denn nach deinen Worten wird dir ja für Geld ne Ipv4 Adresse öffentlich zur Verfügung gestellt.

Und zu Linux und Co...ja, ist ne andere Nummer als nur Klickibunti. Aber sooo schwer nicht. Und zum Einrichten des PiHole gibt es unfassbar gute Tutorials (ct), die wirklich wirklich schnell gehen und unfassbar lohnen. Mir ging es nicht anders und ich bereue den Umstieg auf Linux nicht und die damit verbundene Lernkurve in IT, Netzwerke und Co ist steil und super motivierend (ein Grundinteresse vorausgesetzt). Egal: hilft im Moment ja nicht. Ob jetzt via Fritzbox, NAS oder optimalerweise Raspi...mit DS Lite hängt es eben immer doof.

Grüßle
the other
 

ragman1976

Benutzer
Mitglied seit
10. Jan 2017
Beiträge
28
Punkte für Reaktionen
2
Punkte
3
Oh man,

was hat mich das jetzt Zeit und Nerven gekostet und ich meine nicht die VPN Verbindung als solche, sonder dieser verdammte DS-Lite Anschluss...
Einen Portmapper wollte ich nicht verwenden somit erstmal der Weg über Ionos VServer, tunnel6 etc. Man muss aber dort dann auch die Firewall konfigurieren etc., für mich als Linux Noob sehr umständlich, habe es auch nie wirklich zum Laufen bekommen.
Parallel zu der ganzen Thematik habe ich mehrfach mit meinem Provider telefoniert und um Umstellung des Anschlusses auf DualStack (nativ) gebeten. Je nachdem wer am Telefon war war alles dabei. Von was-erzählen-sie mir-eigentlich-ich weiß-nicht von-was-sie-reden über geht überhaupt nicht, bis hin zu geht nur über vServer, aber der Anschluss bleit DS-Lite. Am Samstag Abend mit drei Bier im Kopp nochmal einen Anlauf. Wieder wieso, weshalb, warum bla,bla, bla...Zauberwort war dann wohl "VPN-Server" verwalten, auch aus dem Mobilfunknetzt erreichbar (nur IPV4). Dann hieß es zähnekrirschend ok dann geht nur Dual-Stack wird dann geschaltet am Wochenende aber nicht machbar. Ich habe mir dann eigentlich gedacht, dass das wieder so eine Vertröstungsnummer wird, aber heute morgen bei der Arbeit dann der Anruf: "Wir haben Ihren Anschluss jetzt umgestellt, sie brauchen nur die Fritzbox einaml stromlos zu machen und wieder einstecken. Nach Hause gesagt, getan und alles funktioniert ohne Probleme.

Ausprobiert habe ich jetzt eine VPN Verbindung über FritzBox, Syno VPN Server mit OpenVPN funktioniert alles einwandfrei und MYFritz funktioniert jetzt auch über das Mobilfunknetz.

Nachstes Projekt ist dann RaspPI (eben bestellt)...OpenVPN, PiHole etc.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.130
Punkte für Reaktionen
195
Punkte
89
Moinsen,
tja, die ewige Nerverei mit service-hotlines...je nach Gesprächspartner ist eben alles drin.

Egal, du hast es mit deiner Geduld geschafft, dass dein Provider umstellt. Allein dafür kannst du dir auf die Schultern klopfen!!

Du wirst sehen, der Rest ist auch machbar und wie gesagt, die Lernkurve steigt beim Tun.

Viel Erfolg dabei (und Spass natürlich auch)!

Grüßle
the other
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.